alex83i писал(а):встречный вопрос, сеть вашу опишите вкратце, отсюда и будем отталкиваться, что чисто теоретически можно организовать..
обычный домен со своей внутренней сетью, домен на линухе suse10, вроде так называется :-D , прокси нету, т.к. все проги бегают в инет без указания в настройках прокси - это нат скорей всего (или нет?)
дома адсл, с динамическим ип.
задача: зайти из дома на рабочий комп 8-)
ЗЫ все это нуно щобы всякие скажем так "выгрузки" (которые очень долго идут) контролировать из дома, а то бывает запустил, ушел, пришел а тама чето криво прошло Nail писал(а):alex83i писал(а):встречный вопрос, сеть вашу опишите вкратце, отсюда и будем отталкиваться, что чисто теоретически можно организовать..
обычный домен со своей внутренней сетью, домен на линухе suse10, вроде так называется :-D , прокси нету, т.к. все проги бегают в инет без указания в настройках прокси - это нат скорей всего (или нет?)
дома адсл, с динамическим ип.
задача: зайти из дома на рабочий комп 8-)
ЗЫ все это нуно щобы всякие скажем так "выгрузки" (которые очень долго идут) контролировать из дома, а то бывает запустил, ушел, пришел а тама чето криво прошло
может нат может нет отсюда невидно, на сервере который занимается раздачей нета или коробке, устанавливаетсяактивизируется PPTP сервер, далее из дома ты устанавливаешь связь с данным сервером и организуется шифрованный канал, при подключении тебе выдаётся адрес из твоей рабочей подсети и ты становишся полноправным участником сети со всеми вытекающими. Это и есть ВПНalex83i писал(а):вы савсем чтоли обалдели какой ещё переброс порта да ещё и на Радмин я уею дорогая редакция
Только ВПН канал, притом доступ не всю внутреннею сеть, а только на конкретный хост, притом Радмин нафиг, есть РДП.
вопрос в том, что сделать проще.... при существующем NATe на линухе пробросить один единственный порт, или поднимать ВПН, Вот и все.
Конечно, впн поинтереснее выглядит, но трудозатрат, имхо, больше.Dron_spb писал(а):Мыльники чтоли из корпоративной базы выбираешь
да нее :-D
alex83i писал(а):может нат может нет отсюда невидно, на сервере который занимается раздачей нета или коробке, устанавливаетсяактивизируется PPTP сервер, далее из дома ты устанавливаешь связь с данным сервером и организуется шифрованный канал, при подключении тебе выдаётся адрес из твоей рабочей подсети и ты становишся полноправным участником сети со всеми вытекающими. Это и есть ВПН
PPTP сервер - обязательно его на серваке поднимать? низя поднять его на моем рабочем компе?FilmFilmFilm писал(а):2 - не правильный, но рабочий: http://hamachi.cc/ - ходишь сюда. качаешь лёгкий впн(работает по принципу аски). создаёшь свою сеть. и уже по новым апишникам ходишь, хоть через удалёнынй раб стол, хоть через радмин, хоть другой клиент. vnc
точно! это ж мона попробовать! чето я и забыл про хомачу то :-DNail писал(а):Саныч2112 писал(а):и что ?? в течении 10 секунд я увижу что какая=то машина ломицца наружу, и она сразу будет блокирована...
на скока знаю проги эти могут выходить ч/з стандартный 80 порт, так что ничо не увидишь
через прокси не пролезешь... а у читывая твое описание - админчег ваш долбоеб
а на счет доступа из дома к машине на работе... про vpn-тунель, на основе mpd - согласен... но только с доступам к серверам в dmz, а не к рабочей машине.. ибо не дай бог чего подцепишь дома - все перетечет и на работу...Саныч2112 писал(а):а у читывая твое описание - админчег ваш долбоеб
Почему долбоеп? Потому что у Nail'я что-то постороннее через 80 порт ходит?Саныч2112 писал(а):а у читывая твое описание - админчег ваш долбоеб
ща админу пожалуюся на тя! он тя найдет и тваю сетку поламаит! :-D Limon писал(а):Саныч2112 писал(а):а у читывая твое описание - админчег ваш долбоеб
Почему долбоеп? Потому что у Nail'я что-то постороннее через 80 порт ходит?
абсолютно правильно. а после этого народ удивляется.. сетку сломали... и тд и тп... предстаь, админ разрешает эту байду или подобную.. человек обижается и увольняется... дальше свобода творчества... а если он таких прибамбасов еще по офису наставит ??? не, рубить на корню такие поползновения...
Nail смотри, посодют вас обоих, его как исполнителя, а тебя как организтора :cool:
на самом деле, тема серьезная, особенно когда касается безопасности внутренней сети... :ooo:idd писал(а):NAT служит для того, чтобы юзеры изнутри локалки могли соединиться в любым компом во внешке по любому порту, обратное не верно...
На самом деле, то что ты написал - это задача прокси.
Другое дело, что у нас в РФ все всё через жопу делают и называют неверными терминами.
Подлинный нат - это - нетворк-адрес-траслейш - трансляция адресов на роутере на вход/выход и пофиг на всё остальное.
Т.е. если ты внутри на FF а в нате прописан как FF->AA то абсолютно пофиг с какой стороны и по какому порту идёт пакет. Если он через роутер идёт на АА он странслируется на FF и наоборот.
Все прочие варианты - это комбинации натов с фаерами и проксями.
FilmFilmFilm писал(а):Правильный: договориться админом
наскоко я понял, правильный вариант для автора - это иметь доступ в тайне от админа.
Правильно, аффтор?
%-)
Тут метода несколько иная нужна. Просто надо нат для своей коляски превратить в настоящий нат. Если стоит вынь - то проще всего трояна под руткитом, если линух - поиметь пасс админа. и усё. Как тока сделал чистый нат - всё будет зер гуд.НИИРФ писал(а):Что бы не организовывать новую тему, вопрос сюда.
Можно как-то насолить человеку зная его IP. Просто знакомого регулярно атакуют с одного и того же IP. Задолбали уже. Вот теперь строим планы коварной мести
Или проще забить, т.к. фаервол вроде успешно справляется?
если чел знает что делать , в смысле атаки, то вероятно стоит файрвол... хотя не факт сканируешь его машину на предмет открытых портов... и там смотришь, можно ли его вздрюкнуть или нет... если нет, то есть возможность отписать провайдеру, коий распоряжается сетью, к которой принадлежит этот адрес.. СБ провайдеров, оченгь любят подобные обращения ... если особых проблем с атаками нет, то можно забить, если у тебя безлимитка.. если трафик платный, то ты теряешь деньги...НИИРФ писал(а):Что бы не организовывать новую тему, вопрос сюда.
Можно как-то насолить человеку зная его IP. Просто знакомого регулярно атакуют с одного и того же IP. Задолбали уже. Вот теперь строим планы коварной мести
Или проще забить, т.к. фаервол вроде успешно справляется?
Может у чела вирус сидит, а ты его ушлепать решил... Скорее тебя первого порешат, надо выяснять кто рулит сетью, звонить админу сетки и говорить о проблеме. Хацкеры мля.Саныч2112
Такой вот вопрос тебе: что можно сделать с 80 портом чтобы посторонний трафик не гулял?
НИИРФ писал(а):Можно как-то насолить человеку зная его IP. Просто знакомого регулярно атакуют с одного и того же IP. Задолбали уже. Вот теперь строим планы коварной мести
Соглашусь с Vlad B. Посмотри с какой частотой происходит так называемая атака. Если время между атаками одинаковое то скорее всего вирус там работает. Также есть много других признаков которые позволят отличить действия человека и программы.Limon писал(а):Саныч2112
Такой вот вопрос тебе: что можно сделать с 80 портом чтобы посторонний трафик не гулял?
Соглашусь с Vlad B. Посмотри с какой частотой происходит так называемая атака. Если время между атаками одинаковое то скорее всего вирус там работает. Также есть много других признаков которые позволят отличить действия человека и программы.
ну таких людей еще поискать нуна, что пакета на лету монстрячат и шлют..
не понял варопса, трафик от тебя или к тебе ?? или что б юзвери из сетки не шлялись через 80-й порт ? тогда прокси... в нем запрещаешь metod connect на 80 й порт... аксес листами блокируешь не нужные айпишники и домены... ну и потом контексная фильтрация по пакетам... 8-)Limon писал(а):Саныч2112
Юзер использует посторонние программы которые работают через 80 порт. Что делать?
для 90% юзверей прокатывает блокировка по айпишникам и доменным именам... как-то icq.com и подобное... на граничном роутере включается IDS для контекстной фильтрации пакетов... заодно и вирусов нарубить можешь и прочего хлама...Limon писал(а):Саныч2112
А если езверь из оставшихся 10% использует http-туннель, то с ним как быть?
а логи посмотреть ?? это для начала, а так IDS :cool:Саныч2112 писал(а):на граничном роутере включается IDS для контекстной фильтрации пакетов
....это для начала, а так IDS
Гы... А если у них Виста стоит??? Ни один идс не развернёт дваждыскрученный (к примеру ип-6>ип-4) пакет - хоть он ип, хоть он удп, хоть он кто угодно.
И если включен идс и валится такой пакет, то любая блокировка идёт лесом.
Тут всё надо делать гораздо проще, чтоб было универсально. Если надо убить: то прямой блок на мак-адреса и все идут нахухоль со своими пакетами. Если же надо фильтровать, то убиваем сову (сов=idc) и рулим только по портам непосредственно пакета (без его разворачивания, как делает сова) или ставим анализатор активности и по полученной статистике начинаем рулить.